# SEC03-BP08 Compartir recursos de forma segura
Controle el consumo de los recursos compartidos entre cuentas o en su AWS Organizations. Supervise los recursos compartidos y revise el acceso a los recursos compartidos.
**Patrones comunes de uso no recomendados:**
+ Uso de la política de confianza de IAM predeterminada al conceder el acceso entre cuentas de terceros
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
Al administrar sus cargas de trabajo con varias cuentas de AWS, es posible que necesite compartir recursos entre ellas. Con mucha frecuencia, se trata de un uso compartido entre cuentas en AWS Organizations. Varios servicios de AWS como [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)y [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) tienen características entre cuentas integradas con Organizations. Puede usar [AWS Resource Access Manager](https://aws.amazon.com/ram/) para compartir otros recursos compartidos, como [subredes VPC o conexiones de puerta de enlace tránsito](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)o [canalizaciones de Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Si quiere asegurarse de que su cuenta solo comparte recursos en sus Organizations, le recomendamos que utilice [políticas de control de servicios (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) para impedir el acceso a entidades principales externas.
Cuando se comparten recursos, se deben establecer medidas de protección contra el acceso involuntario. Recomendamos combinar los controles basados en la identidad y los controles de red para [crear un perímetro de datos para su organización](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Estos controles deben poner límites estrictos a los recursos que se pueden compartir y evitar que se compartan o expongan recursos que no deberían permitirse. Por ejemplo, como parte de su perímetro de datos podría utilizar las políticas de punto de conexión de VPC y la condición `aws:PrincipalOrgId` para garantizar que las identidades que acceden a sus buckets de Amazon S3 pertenecen a su organización.
En algunos casos, conviene permitir que se compartan recursos fuera de sus Organizations o conceder a terceros el acceso a su cuenta. Por ejemplo, un socio puede proporcionar una solución de supervisión que necesita acceder a los recursos en su cuenta. En esos casos, deberá crear un rol entre cuentas de IAM con solo los privilegios que necesite el tercero. También debe elaborar una política de confianza con la [condición de ID externo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Cuando utilice un ID externo, deberá generar un ID único para cada tercero. El ID único no lo debe suministrar ni controlar el tercero. Si el tercero ya no necesita acceder a su entorno, debe eliminar el rol. También debe evitar siempre proporcionar credenciales de IAM de larga duración a un tercero. Tenga en cuenta otros servicios de AWS que admitan el uso compartido de forma nativa. Por ejemplo, AWS Well-Architected Tool permite [compartir una carga de trabajo](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) con otras cuentas de AWS.
Al utilizar un servicio como Amazon S3, se recomienda [desactivar las ACL del bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) y utilizar las políticas de IAM para definir el control de acceso. [Para restringir el acceso a un Amazon S3 origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) de [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migre de la identidad de acceso de origen (OAI) al control de acceso de origen (OAC), que admite características adicionales como el cifrado del servidor con [AWS KMS](https://aws.amazon.com/kms/).
## Recursos
**Documentos relacionados:**
+ [Bucket owner granting cross-account permission to objects it does not own (El propietario del bucket concede permisos entre varias cuentas a objetos que no son de su propiedad)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM (Cómo utilizar las políticas de confianza con IAM)](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS (Creación de un perímetro de datos en AWS)](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources (Cómo utilizar un ID externo al conceder a un tercero el acceso a sus recursos de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Vídeos relacionados:**
+ [Granular Access with AWS Resource Access Manager (Acceso detallado con AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Protección del perímetro de datos con puntos de conexión de VPC)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Establecimiento de un perímetro de datos en AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)